본문 바로가기
악성코드 정보

법원판결 내용의 악성 엑셀(XLS) 파일 유포: 코니(KONNI) 조직

by 분석팀 2020. 7. 1.

안랩 ASEC은 악의적인 매크로를 포함하여 사용자 정보를 유출하는 엑셀 파일을 수집하였다. 해당 엑셀 문서는 사용자에게 매크로를 사용하도록 유도하고, 매크로를 실행시키면 '방문판매법위반 방조로 벌금을 내라'는 법원 판결이 관련된 내용을 포함한 엑셀 문서를 다시 실행시켜 사용자가 감염 사실을 인지하기 어렵게 한다. 악성코드 동작방식이 코니 (KONNI) 조직으로 알려진 APT 공격그룹에서 사용한 것과 유사한 특징을 갖는다.

 

[파일 정보]


● 파일 타입: 엑셀 문서
● MD5: 4af8906f903f5de0ea98d3e323ee869c
● SHA256: 83478fb5d4eadb2111688953ee6cea831626a6201bdd181b4c3f92e25b129e56

 

[그림] 매크로 실행 전 엑셀 문서 – 매크로 실행을 유도하는 그림

 

[그림] 매크로 실행 후 다운로드된 두 번째 엑셀 문서 – 판결 관련 내용을 포함하며 추가적인 사용자의 매크로 실행 필요

 

두 번째 엑셀의 매크로까지 실행될 경우 첫 번째 엑셀에서 다운로드된 파일들이 순차적으로 실행되며, 사용자 정보 탈취 및 추가 파일이 다운로드 가능하다.


악성코드의 전체 실행 순서는 아래 그림과 같다.

 

[그림] 전체 악성코드 동작 순서

 

해당 악성코드의 실행 순서는 기존에 공개되었던, Operation Moneyholic의 KONNI그룹의 기법으로 최초 공격 벡터인 문서 포맷이 한글에서 엑셀 문서로 변경된 차이만 있다.

 

https://asec.ahnlab.com/1251 (Operation Moneyholic With HWP Document)

 

Operation Moneyholic With HWP Document

안랩에서는 지난 8월 암호화폐 거래소와 이용자를 대상으로한 공격활동을 분석한 오퍼레이션 머니홀릭(Operation Moneyholic) 보고서를 발행했다. 오퍼레이션 머니홀릭(Operation Moenyholic) 조직은 해외�

asec.ahnlab.com

 

엑셀 문서에 대한 상세 분석 내용은 아래와 같다.

 

[그림] 복호화된 첫 번째 엑셀(1.xls) 매크로 코드 일부

 

첫 번째 엑셀 파일의 매크로가 실행되면 악성 유포지에서 4개 파일을 FSO.GetSpecialFolder(2) 경로(%temp%)에 다운로드한다.


다운로드 주소는 아래와 같다.

 

● view-naver.com/xls/no1[.]txt

● view-naver.com/xls/mo1[.]txt

● view-naver.com/xls/vbs[.]txt

● view-naver.com/xls/temp2[.]xls

 

파일 다운로드 후 temp2.xls(판결 관련 내용이 포함된 엑셀)을 실행하고 자기 자신 문서는 종료한다. 두 번째 엑셀(temp.xls) 파일 또한 사용자의 매크로 기능 실행을 요구한다. 사용자가 매크로 기능 실행하면 악성 매크로는 32bit인지 64bit인지 확인 후 환경에 맞는 cmd.exe를 이용하여 첫 번째 엑셀에서 다운로드한 mo1.bat 파일을 실행하게 된다.

 

[그림] 복호화된 두 번째 엑셀(temp2.xls) 매크로 코드 일부

 

mo1.bat 파일은 vbs.txt(Encoded cab fiel)이 C:\Users\Public\Documents 경로에 있는지 확인하고 없을 경우 자기 자신의 경로(%~dp0)에 다운로드한 파일 두 개(no1.txt -> no1.bat, vbs.txt -> vbs.txt)를 C:\Users\Public\Documents 경로에 복사 한 뒤 no1.bat파일을 실행한다. no1.bat파일은 vbs.txt 파일을 복호화하여 내부에 포함된 5개의 파일을 생성하고 내부 파일 중 mysec2.bat파일을 실행한다.

 

vbs.txt 파일에서 생성된 5개의 내부 파일은 아래와 같은 기능을 한다.

  • mysec2.bat: no42.bat 실행, start2.vbs 자동실행 등록, 추가 파일 다운로드 (download2.vbs 사용), 다운로드한 파일 디코드, 추가 파일 실행
  • no42.bat: 사용자 정보 획득, 사용자 정보 업로드(upload2.vbs 사용)
  • start2.vbs: mysec2.bat 실행
  • upload2.vbs: 파일 업로드 기능
  • download2.vbs: 파일 다운로드 기능

[그림] mysec2.bat과 download2.vbs 내용

 

[그림] no42.bat과 upload2.vbs내용

 

no.42.bat이 탈취하는 사용자 정보는 다음과 같다.

  • download 경로 파일 목록
  • document 경로 파일 목록
  • 바탕화면 경로 파일 목록
  • ProgramFiles 경로 파일 목록
  • 공인 IP 주소
  • 실행 중인 프로세스 목록
  • 시스템 정보

 

안랩은 악성 엑셀 파일과 추가 생성되는 악성 파일을 다음과 같이 진단하고 있다.


[파일 진단]

  • Downloader/Xls.Agent(2020.06.26.08)
  • Agent/XLS.Agent(2020.06.26.08)
  • Encoded/Binimage.Agent(2020.06.26.08)
  • Backdoor/Binimage.Agent(2020.06.26.08)
  • Backdoor/Bat.Agent(2020.06.26.08)
  • Trojan/Vbs.Agent(2020.06.26.08)

[C2 정보]

  • http://www.resulview[.]com
  • http://view-naver[.]com

 

 

저작자표시 비영리 변경금지

'악성코드 정보' 카테고리의 다른 글

공직메일(@korea.kr) 계정탈취를 위한 피싱메일 유포 중  (0) 2020.07.02
국내 포털 계정정보 탈취용 피싱메일 주의!  (0) 2020.07.01
ASEC 주간 악성코드 통계 ( 20200622 ~ 20200628 )  (0) 2020.06.30
해양분야 관련 한글(HWP) 악성코드 유포 중  (0) 2020.06.29
구글 키워드 검색 시, 피싱 페이지 통한 CoinMiner 유포 중  (0) 2020.06.29

관련글

댓글

티스토리툴바